Bereitstellen des DPM-Schutz-Agents

  • Artikel

Wichtig

Diese Version von Data Protection Manager (DPM) hat das Supportende erreicht. Es wird empfohlen, ein Upgrade auf DPM 2022 durchzuführen.

Der Schutz-Agent von System Center Data Protection Manager (DPM) ist die Software, die Sie auf jedem Computer installieren, der Daten enthält, die Sie mit DPM sichern möchten. Es besteht aus zwei Komponenten: dem Schutz-Agent selbst und einem Agent-Koordinator. Funktionsbeschreibung:

  • Identifiziert die Daten, die DPM schützen und wiederherstellen kann.

  • Befähigen des DPM-Servers, Freigaben, Volumes und Ordner auf dem geschützten Computer zu durchsuchen.

  • Erstellt ein separates Änderungsjournal für jedes geschützte Volume und speichert das Journal in einer verborgenen Datei auf dem jeweiligen Volume. Es zeichnet alle Änderungen an den geschützten Daten im Änderungsjournal auf und überträgt das Journal vom geschützten Computer an den DPM-Server, damit DPM die primären Daten mit dem Replikat synchronisieren kann.

Gehen Sie wie folgt vor, um den Agent einzurichten:

  • Wenn sich der Computer mit den zu sichernden Daten hinter einer Firewall befindet, müssen Sie Firewallausnahmen einrichten.

  • Wenn sich der Computer nicht hinter einer Firewall befindet oder Sie Firewallausnahmen für den Zugriff konfiguriert haben, können Sie den Agent über die DPM-Konsole installieren.

  • Wenn Sie keinen Zugriff über die Firewall haben, sich der zu schützende Computer in einer Arbeitsgruppe oder einer nicht vertrauenswürdigen Domäne befindet oder Sie eine andere Installationsmethode verwenden müssen, können Sie den Agent manuell installieren und dann den Agent anfügen.

Einrichten von Firewallausnahmen

Damit ein Schutz-Agent mit dem DPM-Server über eine Firewall kommunizieren kann, sind Firewallausnahmen erforderlich.

Konfigurieren Sie eine eingehende Ausnahme für sqlservr.exe für die DPM-instance der SQL Server, um TCP an Port 80 zuzulassen. Der Berichtsserver lauscht an Port 80 nach HTTP-Anforderungen. Die folgende Tabelle listet die Protokolle und Ports auf, die für die Kommunikation zwischen dem DPM-Server und geschützten Servern und Clients erforderlich sind.

Protokoll Port Details
DCOM 135/TCP
Dynamisch		 Das DPM-Steuerungsprotokoll verwendet DCOM. DPM gibt Befehle an den Schutz-Agent aus, indem DCOM-Aufrufe an den Agent ausgelöst werden. Der Schutz-Agent antwortet durch DCOM-Aufrufe an den DPM-Server.

TCP-Port 135 ist der von DCOM verwendete DCE-Endpunktauflösungspunkt.

Standardmäßig werden Ports im TCP-Portbereich von 49152 bis 65535 von DCOM dynamisch zugewiesen. Sie können diesen Bereich mithilfe von Komponentendiensten konfigurieren.

Für die DPM-Agent-Kommunikation müssen Sie die oberen Ports 49152-65535 öffnen. Führen Sie folgende Schritte aus, um die Ports zu öffnen:

1. Wählen Sie im IIS 7.0-Manager im Bereich Connections den Knoten auf Serverebene in der Struktur aus.
2. Doppelklicken Sie in der Funktionsliste auf das Symbol FTP-Firewallunterstützung.
3. Geben Sie einen Wertebereich für den Datenkanal-Portbereich ein.
4. Nachdem Sie den Portbereich für Ihren FTP-Dienst eingegeben haben, wählen Sie im Bereich Aktionen die Option Übernehmen aus, um Ihre Konfigurationseinstellungen zu speichern.
TCP 5718/TCP
5719/TCP		 Der DPM-Datenkanal basiert auf TCP. Sowohl DPM als auch der geschützte Computer initiieren Verbindungen, um DPM-Vorgänge wie Synchronisierung und Wiederherstellung zu ermöglichen.

DPM kommuniziert mit dem Agent-Koordinator auf Port 5718 und mit dem Schutz-Agent auf Port 5719.
DNS 53/UDP Wird zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller für die Hostnamenauflösung verwendet.
Kerberos 88/UDP 88/TCP Wird zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller für die Authentifizierung des Verbindungsendpunkts verwendet.
LDAP 389/TCP
389/UDP		 Wird zwischen DPM und dem Domänencontroller für Abfragen verwendet.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 Wird zwischen DPM und dem geschützten Computer, zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller für verschiedene Vorgänge verwendet. Wird für direkt auf TCP/IP gehostetes SMB für DPM-Funktionen verwendet.

Installieren des Agents über die DPM-Konsole

  1. Wählen Sie in der DPM-Verwaltungskonsole die OptionVerwaltungs-Agents> aus. Wählen Sie im Menüband des Tools Installieren aus, um den Assistenten für die Installation des Schutz-Agents zu öffnen.

  2. Wählen Sie auf der Seite Agent-Bereitstellungsmethode auswählen die Option Agents>installieren aus.

  3. Auf der Seite Computer auswählen wird von DPM eine Liste der verfügbaren Computer angezeigt, die sich in derselben Domäne wie der DPM-Server befinden. Fügen Sie den erforderlichen Computer hinzu.

    • Wenn Sie den Assistenten zum ersten Mal verwenden, fragt DPM Active Directory ab, um eine Liste der verfügbaren Computer abzurufen. Nach der ersten Installation speichert DPM die Liste der Computer in der Datenbank, die einmal täglich durch den Prozess der automatischen Ermittlung aktualisiert wird.

    • Um einen Computer in einer anderen Domäne zu finden, der über eine bidirektionale Vertrauensstellung mit der Domäne verfügt, in der sich der DPM-Server befindet, müssen Sie den vollqualifizierten Domänennamen (FQDN) des Computers eingeben, den Sie schützen möchten. Beispiel<: Computer1.Domain1.contoso.com>. Dabei ist Computer1 der Name des Computers, den Sie schützen möchten, und Domain1.contoso.com die Domäne, zu der der Zielcomputer gehört.

    • Die Schaltflächenseite "Erweitert " ist nur aktiviert, wenn mehrere Versionen eines Schutz-Agents für die Installation auf den Computern verfügbar sind. Sie können diese Option dazu verwenden, um eine frühere Version des Schutz-Agents zu installieren, die vor dem Upgrade des DPM-Servers auf eine neuere Version installiert war.

  4. Geben Sie auf der Seite Anmeldeinformationen eingeben den Benutzernamen und das Kennwort für ein Domänenkonto ein, das Mitglied der lokalen Gruppe Administratoren auf allen ausgewählten Computern ist.

    • Übernehmen Sie im Feld Domäne den Domänennamen des Benutzerkontos, das Sie zum Installieren des Schutz-Agents auf dem Zielcomputer verwenden, oder geben Sie diesen ein. Dieses Konto kann zur Domäne gehören, in der sich der DPM-Server befindet, oder zu einer Domäne, die eine bidirektionale Vertrauensstellung mit der Domäne unterhält, in der sich der DPM-Server befindet.

    • Wenn Sie einen Schutz-Agent auf einem Computer über eine vertrauenswürdige Domäne hinweg installieren, geben Sie die Benutzeranmeldeinformationen Ihrer aktuellen Domäne an. Sie können Mitglied einer beliebigen Domäne sein, die über eine bidirektionale Vertrauensstellung mit der Domäne verfügt, in der sich der DPM-Server befindet, und Sie müssen Mitglied der lokalen Administratorgruppe auf allen ausgewählten Computern sein, auf denen Sie einen Agent installieren möchten.

    • Wenn Sie einen Knoten in einem Cluster auswählen, werden alle weiteren Knoten im Cluster von DPM erkannt, und es wird die Seite Clusterknoten auswählen angezeigt.

  5. Wählen Sie auf der Seite Clusterknoten auswählen eine Option aus, die DPM zum Installieren von Agents auf zusätzlichen Knoten im Cluster verwenden soll, und wählen Sie dann Weiter aus.

  6. Wählen Sie auf der Seite Methode für Neustart auswählen die Methode aus, die nach der Installation des Schutz-Agents für den Neustart der ausgewählten Computer verwendet werden soll. Der Computer muss neu gestartet werden, bevor Sie mit dem Schützen von Daten beginnen können. Ein Neustart ist erforderlich, um den Volumefilter zu laden, der von DPM zum Nachverfolgen und Übertragen von Änderungen auf Blockebene zwischen dem DPM-Server und den geschützten Computern verwendet werden soll.

    • Wenn Sie die Computer später neu starten, wird die Status der Schutz-Agent-Installation nicht automatisch auf der Registerkarte Agents im Bereich Verwaltungsaufgaben aktualisiert, nachdem der Computer neu gestartet wurde, und Sie müssen Informationen aktualisieren auswählen.

    • Sie müssen den Computer nicht neu starten, wenn Sie einen Schutz-Agent auf einem anderen DPM-Server installieren.

    • Wenn einer der ausgewählten Computer Knoten in einem Cluster ist, wird eine zusätzliche Seite Methode auswählen angezeigt, die Sie verwenden können, um die Methode zum Neustarten der Gruppierten Computer auszuwählen. Sie müssen einen Schutz-Agent auf allen Knoten in einem Cluster installieren, um die gruppierten Daten erfolgreich zu schützen. Die Computer müssen neu gestartet werden, bevor Sie mit dem Schützen von Daten beginnen können. Da die Zeit zum Starten von Diensten erforderlich ist, kann es nach einem Neustart einige Minuten dauern, bis DPM den Agent im Cluster kontaktieren kann.

    • DPM startet einen Computer, der zu einem Microsoft Cluster Server-Cluster (MSCS) gehört, nicht automatisch neu. Sie müssen Computer in einem MSCS-Cluster manuell neu starten.

  7. Wählen Sie auf der Seite Zusammenfassung die Option Installieren aus, um mit der Installation zu beginnen. Wenn die Lizenzbedingungen angezeigt werden, akzeptieren Sie sie, damit die Installation gestartet wird. Auf der Registerkarte Aufgabe der Installationsseite können Sie sehen, ob die Installation erfolgreich war. Sie können Schließen auswählen, bevor der Assistent abgeschlossen ist, und den Installationsfortschritt auf der Registerkarte Agents im Aufgabenbereich Verwaltung überwachen. Wenn die Installation nicht erfolgreich war, können Sie die Warnungen im Aufgabenbereich Überwachung auf der Registerkarte Warnungen überprüfen.

Hinweis

Nachdem Sie einen Schutz-Agent auf einem Computer installiert haben, der Teil einer Windows SharePoint Services Farm ist, wird jeder Computer in der Farm nicht als geschützte Computer auf der Registerkarte Agents im Aufgabenbereich Verwaltung angezeigt, nur der computer, den Sie ausgewählt haben. Wenn die Windows SharePoint Services-Farm jedoch über Daten auf dem ausgewählten Computer verfügt, werden die Daten auf allen Computern in der Farm von DPM geschützt, vorausgesetzt, der Schutz-Agent ist auf allen Computern installiert.

Manuelles Installieren des Agents

  1. Wenn Sie den Agent auf einem Computer hinter einer Firewall installieren, müssen Sie sicherstellen, dass der Agent über die Firewall gepusht werden kann.

    Sie können z.B. den folgenden Befehl auf dem Computer ausführen, um Windows-Firewall zu konfigurieren: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IP-Adresse> , wobei „IP-Adresse“ die Adresse des DPM-Servers angibt.

    Eine Anleitung zum Konfigurieren der Portausnahme für die Firewall finden Sie unter Konfigurieren von Firewallausnahmen für den Agent.

  2. Öffnen Sie auf dem Computer, den Sie schützen möchten, ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie dann die folgenden Befehle aus:

    Geben Sie Folgendes ein, um einen Laufwerkbuchstaben zuzuweisen: net use Z: \<DPMServerName>\c$. Hierbei steht Z für den Buchstaben des lokalen Laufwerks, das Sie zuordnen möchten, und <DPMServerName> ist der Name des DPM-Servers, der für den Schutz des Computers eingesetzt wird.

    Gehen Sie wie folgt vor, um das Verzeichnis zu ändern:

    • Geben Sie für einen 64-Bit-Computer folgendes ein : cd /d <zugewiesener Laufwerkbuchstabe>:\Programme\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<build number.0>\amd64 , wobei <der zugewiesene Laufwerkbuchstabe> der Laufwerkbuchstaben ist, den Sie im vorherigen Schritt zugewiesen haben, und <die Buildnummer> ist die neueste DPM-Buildnummer. Beispiel: cd /d X:\Programme\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Geben Sie für einen 32-Bit-Computer folgendes ein : cd /d <zugewiesener Laufwerkbuchstabe>:\Programme\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<Buildnummer>l;. 0\i386 , wobei <der zugewiesene Laufwerkbuchstabe> das Laufwerk ist, das Sie im vorherigen Schritt zugeordnet haben, und <die Buildnummer> ist die neueste DPM-Buildnummer.

  3. Um den Schutz-Agent zu installieren, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie dann einen der folgenden Befehle aus:

    • Geben Sie für einen 64-Bit-Computer Folgendes ein:DpmAgentInstaller_x64.exe <DPMServerName> , wobei <DPMServerName> der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des DPM-Servers ist. Beispiel: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Geben Sie für einen 32-Bit-Computer Folgendes ein:DpmAgentInstaller_x86.exe <DPMServerName> , wobei <DPMServerName> der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des DPM-Servers ist.

    Hinweis

    • Zur Durchführung einer unbeaufsichtigten Installation können Sie die Option /q an den Befehl DpmAgentInstaller_x64.exe anhängen. Beispiel: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Verwenden Sie DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA, um die EuLA in einer unbeaufsichtigten Installation manuell zu akzeptieren.
    • Wenn Sie einen DPM-Servernamen in der Befehlszeile angeben, wird der Schutz-Agent installiert und automatisch die Sicherheitskonten, Berechtigungen und Firewallausnahmen konfiguriert, die für die Kommunikation des Agents mit dem angegebenen DPM-Server erforderlich sind. Wenn Sie keinen Servernamen angegeben haben, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Zielcomputer, und gehen Sie wie folgt vor:
    1. So ändern Sie den Verzeichnistyp: cd /d <Systemlaufwerk> :\Programme\Microsoft Data Protection Manager\DPM\bin
    2. Type: SetDpmServer.exe -dpmServerName <DPMServerName> . Dadurch werden die Sicherheitskonten, Berechtigungen und Firewallausnahmen für den Agent für die Kommunikation mit dem Server konfiguriert.

  4. Wenn Sie den Computer dem DPM-Server vor Installation des Agents hinzugefügt haben, werden vom Server nun Sicherungen für den geschützten Computer erstellt. Wenn Sie den Agent auf dem Zielcomputer vor dessen Hinzufügen auf dem DPM-Server installiert haben, müssen Sie den Computer verbinden, damit von dem DPM-Server Sicherungen für den geschützten Computer erstellt werden.

Installieren des Schutz-Agents auf einem RODC

Gehen Sie dazu folgendermaßen vor:

  1. Deaktivieren Sie entweder die Firewall für den RODC, oder führen Sie die folgenden Befehle auf dem RODC aus, bevor Sie den Agent installieren:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. Erstellen und füllen Sie auf dem primären Domänencontroller die folgenden Sicherheitsgruppen (wobei der geschützte Servername der Name des RODC ist, auf dem Sie den Schutz-Agent installieren möchten):

    • Erstellen Sie eine Sicherheitsgruppe unter dem Namen DPMRADCOMTRUSTEDMACHINES$PSNAME, und fügen Sie dann den DPM-Servercomputer als Mitglied hinzu.

    • Erstellen Sie eine Sicherheitsgruppe unter dem Namen DPMRADCOMTRUSTEDMACHINES$PSNAME, und fügen Sie dann den DPM-Servercomputer als Mitglied hinzu.

    • Erstellen Sie eine Sicherheitsgruppe mit dem Namen DPMRATRUSTEDDPMRAS$PSNAME, und fügen Sie dann das DPM-Servercomputerkonto als Mitglied hinzu.

    • Fügen Sie das Computerkonto des DPM-Servers der Sicherheitsgruppe Builtin\Distributed Com-Benutzer als Mitglied hinzu.

  3. Vergewissern Sie sich, dass die zuvor erstellten Sicherheitsgruppen auf dem RODC repliziert wurden. Installieren Sie dann den Schutz-Agent manuell auf dem RODC.

  4. Führen Sie auf dem RODC-Server folgende Schritte aus, um Berechtigungen zum Starten und Aktivieren des DPMRA-Diensts zu erteilen:

    1. Öffnen Sie die DPM-Verwaltungsshell, und führen Sie den Befehl dcomcnfg.exe aus.

      Es wird das Fenster Komponentendienste geöffnet.

    2. Erweitern Sie im Fenster Komponentendiensteden Eintrag Computer, Meinen Computer, DCOM-Konfiguration, klicken Sie mit der rechten Maustaste auf denDPM RA-Dienst , und wählen Sie dann Eigenschaften aus.

    3. Wählen Sie Allgemein aus, und legen Sie dann die Authentifizierungsebene auf Standard fest.

    4. Wählen Sie Speicherort aus, und stellen Sie dann sicher, dass nur Anwendung auf diesem Computer ausführen ausgewählt ist.

    5. Wählen Sie Sicherheit, anpassen unter Start- und Aktivierungsberechtigungen die Option Anpassen aus, und wählen Sie dann Bearbeiten aus, um das Dialogfeld Startberechtigung zu öffnen.

    6. Erteilen Sie dem Computerkonto des DPM-Servers im Dialogfeld Startberechtigung die Berechtigungen für Lokaler Start, Remotestart, Lokale Aktivierung und Remoteaktivierung.

    7. Wählen Sie OK aus, um das Dialogfeld zu schließen.

    8. Navigieren Sie auf dem DPM-Server zu Programme\Microsoft System Center\DPM\DPM\setup, und kopieren Sie die folgenden Dateien in einen Ordner auf dem RODC-Server.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Führen Sie auf dem RODC an einer Eingabeaufforderung mit erhöhten Rechten den Befehl setagentcfg.exe a DPMRA domain\DPMserver von dem im vorherigen Schritt angegebenen Speicherort aus aus.

  6. Wechseln Sie auf dem RODC-Server zum Ordner C:\Programme\Microsoft Data Protection Manager\DPM\bin, und führen Sie den Befehl „setdpmserver“ aus:

    Setdpmserver -dpmservername DPMSERVER

  7. Fügen Sie den Schutz-Agent an den DPM-Server an, wie im folgenden Abschnitt beschrieben.

Anfügen des Agents

Nachdem Sie den DPM-Agent manuell installiert haben, müssen Sie den Agent an den DPM-Server anfügen.

  1. Wählen Sie in der DPM-Administratorkonsole auf der Navigationsleiste Verwaltungs-Agents>aus. Wählen Sie im Bereich Aktionendie Option Installieren aus.

  2. Wählen Sie auf der Seite Agentbereitstellungsmethode auswählen Folgendes aus: Agents verbinden>Computer in einer vertrauenswürdigen Domäne>Weiter. Der Installations-Assistent des Schutz-Agents wird geöffnet.

  3. Auf der Seite Computer auswählen zeigt DPM eine Liste der verfügbaren Computer in derselben Domäne wie der DPM-Server an. Wählen Sie mindestens einen Computer (maximal 50) aus der Liste >ComputernameWeiter hinzufügen> aus.

    • Wenn Sie den Assistenten zum ersten Mal verwenden, fragt DPM Active Directory ab, um eine Liste der potenziellen Computer abzurufen. Nach der ersten Installation zeigt DPM die Liste der Computer in der Datenbank an, die täglich anhand der AutoErmittlung aktualisiert wird.

    • Um mehrere Computer mithilfe einer Textdatei hinzuzufügen, wählen Sie die Schaltfläche Aus Datei hinzufügen aus, und geben Sie im Dialogfeld Aus Datei hinzufügen den Speicherort der Textdatei ein, oder wählen Sie Durchsuchen aus, um zu ihrem Speicherort zu navigieren.

  4. Geben Sie auf der Seite Anmeldeinformationen eingeben den Benutzernamen und das Kennwort für ein Domänenkonto ein, das Mitglied der lokalen Gruppe Administratoren auf allen ausgewählten Computern ist. Akzeptieren oder geben Sie im Feld Domäne den Domänennamen des Benutzerkontos ein, das Sie zum Installieren des Schutz-Agents auf dem Zielcomputer verwenden. Dieses Konto kann zur Domäne, in der sich der DPM-Server befindet, oder zu einer vertrauenswürdigen Domäne gehören. Wenn Sie einen Schutz-Agent auf einem Computer über eine vertrauenswürdige Domäne hinweg installieren, geben Sie die Benutzeranmeldeinformationen Ihrer aktuellen Domäne an. Sie können ein Mitglied einer beliebigen vertrauenswürdigen Domäne sein, und Sie müssen ein Mitglied der lokalen Administratorgruppe auf allen ausgewählten Computern sein, die Sie schützen möchten.

  5. Wählen Sie auf der Seite Zusammenfassungdie Option Anfügen aus.